Aplikacja randkowa Raw ujawnia dane użytkowników, w tym lokalizację i preferencje seksualne

Aplikacja Raw wyciekła lokalizacje użytkowników i dane osobowe z powodu poważnego błędu bezpieczeństwa, co budzi obawy dotyczące jej nowego urządzenia do śledzenia relacji zasilanego przez sztuczną inteligencję.

Poważna luka w zabezpieczeniach aplikacji randkowej Raw ujawniła dane osobowe i lokalizacyjne użytkowników każdej osobie online, co jako pierwsze ujawniło TechCrunch. Wyjawione dane zawierały imiona użytkowników, daty urodzenia, preferencje seksualne oraz dokładne koordynaty GPS, pozwalając na śledzenie lokalizacji aż do poziomu ulicy.

Aplikacja Raw, uruchomiona w 2023 roku, osiągnęła ponad 500 000 pobrań, zachęcając użytkowników do budowania prawdziwych relacji poprzez wymóg codziennego przesyłania selfie.

TechCrunch zauważa, że w tym tygodniu firma ogłosiła również urządzenie do noszenia, Raw Ring, twierdząc, że może monitorować tętno partnera i oferować wnioski generowane przez sztuczną inteligencję, potencjalnie w celu wykrycia zdrady.

Pomimo twierdzeń o użyciu szyfrowania od końca do końca, TechCrunch nie znalazł takich zabezpieczeń. Ich analiza wykazała, że dane użytkowników mogą być swobodnie dostępne poprzez przeglądarkę za pomocą znanej adresu internetowego.

„Wszystkie wcześniej narażone punkty końcowe zostały zabezpieczone, a my wprowadziliśmy dodatkowe środki ostrożności, aby zapobiec podobnym problemom w przyszłości,” powiedziała współzałożycielka Raw, Marina Anderson, w mailu do TechCrunch.

Gdy zapytano, Anderson przyznała, że aplikacja nie przeszła żadnych zewnętrznych audytów bezpieczeństwa. Dodała, że firma nadal prowadzi śledztwo i „przedstawi szczegółowy raport odpowiednim organom ochrony danych zgodnie z obowiązującymi przepisami”.

Jednak TechCrunch zauważa, że nie potwierdziła, czy użytkownicy zostaną powiadomieni indywidualnie, czy też zostanie zaktualizowana polityka prywatności.

TechCrunch wyjaśnia, że typ wykrytej podatności jest znany jako bezpieczne bezpośrednie odwołanie do obiektu (IDOR) – częsty, ale niebezpieczny błąd. Występuje on, gdy aplikacja używa łatwo odgadnijalnych identyfikatorów, takich jak numery czy nazwy plików, do kontrolowania dostępu do danych.

Na przykład, jeśli do profilu użytkownika dostęp uzyskuje się poprzez URL z numerem na końcu (takim jak /profil/123), atakujący może zmienić ten numer, aby zobaczyć profil kogoś innego (np. /profil/124). Bez właściwych kontroli bezpieczeństwa mogą wykorzystać to do dostępu lub modyfikacji danych, do których nie powinni mieć dostępu.

Badacze bezpieczeństwa z TechCrunch wykryli błąd podczas testu z symulowanymi danymi i lokalizacją, który ujawnił wyciek w zaledwie kilka minut. Błąd umożliwiał użytkownikom dostęp do profili poprzez zmianę pojedynczej liczby w adresie internetowym aplikacji, zanim deweloperzy naprawili problem.

Mimo naprawy, nadal istnieją obawy dotyczące praktyk Raw związanych z danymi oraz potencjału nowego urządzenia do inwazyjnej inwigilacji.